<div dir="ltr"><div dir="ltr">On Fri, Feb 15, 2019 at 1:02 PM Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2019-02-15 01:27:49 -0600 (-0600), Matthew Thode wrote:<br>
> Recently it was reported to us that requests had a recent release that<br>
> addressed a CVE (CVE-2018-18074).  Requests has no stable branches so<br>
> the only way to update openstack stable branches is to update to 2.20.1<br>
> in this case.<br>
[...]<br>
<br>
In the past we've assumed that folks consuming stable branches are<br>
doing so on distributions which are backporting security fixes for<br>
our dependencies anyway, so treating requirements for stable<br>
branches as a snapshot in time (even if that snapshot includes<br>
versions of dependencies with known vulnerabilities) is acceptable.<br></blockquote><div><br></div><div>Interesting, I didn't realize this.</div><div><br></div><div>I know openstack-ansible and kolla both (optionally?) deploy from source,</div><div>so maybe it's time to start talking about it. Or should those projects</div><div>handle security fixes themselves when deploying from source?</div><div><br></div><div>// jim</div></div></div>